Area di progettazione: Governance di Azure
La governance di Azure stabilisce gli strumenti necessari per supportare la governance del cloud, il controllo della conformità e le protezioni automatizzate.
Revisione dell'area di progettazione
Funzioni o ruoli coinvolti: la governance di Azure deriva dalla governance del cloud. La piattaforma cloud e il centro di eccellenza cloud potrebbero essere necessari per definire e implementare alcuni requisiti tecnici. La governance è incentrata sull'applicazione dei requisiti operativi e di sicurezza e ciò potrebbe richiedere la sicurezza del cloud, l'IT centrale o le operazioni cloud.
Ambito: decisioni di revisione prese durante le revisioni delle aree di progettazione di identità, rete, sicurezza e gestione. Il team potrebbe confrontare le decisioni di revisione della governance automatizzata, che fa parte dell'acceleratore della zona di destinazione di Azure. Le decisioni di revisione potrebbero essere utili per determinare gli elementi che è possibile controllare o applicare. Le decisioni di revisione potrebbero valutare quali criteri è possibile distribuire automaticamente.
Fuori ambito: la governance di Azure stabilisce la base per la rete. Tuttavia, non viene fatto riferimento ad articoli riguardanti la conformità, ad esempio la sicurezza di rete avanzata o le protezioni automatizzate per applicare le decisioni relative alla rete. Queste decisioni possono essere prese quando si riesaminano le aree di progettazione della conformità correlate alla sicurezza e alla governance. Ritardando le discussioni, è possibile consentire al team della piattaforma cloud di occuparsi dei requisiti di rete iniziali prima di affrontare articoli più complessi.
Nuovo ambiente cloud (campo verde): Per iniziare il percorso cloud con un piccolo set di sottoscrizioni, vedere Creare le sottoscrizioni iniziali di Azure. Prendere in considerazione anche l'uso dei modelli di distribuzione Bicep per creare le nuove zone di destinazione di Azure. Per altre informazioni, vedere Azure Landing Zones Bicep - Deployment Flow (Bicep - Flusso di distribuzione delle zone di destinazione di Azure).
Ambiente cloud esistente (brownfield): Se si è interessati ad applicare principi di governance di Azure comprovati agli ambienti Azure esistenti, tenere presente quanto segue:
- Esaminare le linee guida per stabilire una baseline di gestione per l'ambiente ibrido o multicloud
- Implementare le funzionalità gestione dei costi e fatturazione di Azure , ad esempio ambiti di fatturazione, budget e avvisi per garantire che la spesa di Azure rimanga entro limiti prestabiliti
- Usare Criteri di Azure per applicare protezioni di governance nelle distribuzioni di Azure e attivare attività di correzione per portare le risorse di Azure esistenti in uno stato conforme
- Prendere in considerazione la gestione entitlement di Azure AD per automatizzare le richieste di Azure, le assegnazioni di accesso, le verifiche e la scadenza
- Usare le raccomandazioni di Azure Advisor per garantire l'ottimizzazione dei costi e l'eccellenza operativa in Azure, entrambi principi fondamentali di Microsoft Azure Well-Architected Framework.
Il repository Bicep - Deployment Flow (Zone di destinazione di Azure Bicep - Flusso di distribuzione ) contiene molti modelli di distribuzione Bicep che possono accelerare le distribuzioni di aree di destinazione di Azure greenfield e brownfield. Questi modelli dispongono già di linee guida per la governance comprovate di Microsoft integrate all'interno di tali modelli.
Si consideri ad esempio l'uso del modulo Bicep assegnazioni di criteri predefiniti alZ per iniziare a garantire la conformità per gli ambienti Azure.
Per altre informazioni sull'uso in ambienti cloud brownfield, vedere Considerazioni sull'ambiente Brownfield.
Panoramica dell'area di progettazione
Il percorso di adozione del cloud per un'organizzazione inizia con controlli efficaci per gli ambienti di enti pubblici.
La governance offre meccanismi e processi per mantenere il controllo sulle piattaforme, sulle applicazioni e sulle risorse in Azure.
Nella revisione dell'area di progettazione vengono trattate le considerazioni e le raccomandazioni che consentono di prendere decisioni consapevoli durante la pianificazione della zona di destinazione.
L'area di progettazione della governance è incentrata sulle decisioni di progettazione nell'zona di destinazione. Inoltre, la metodologia di governance del Cloud Adoption Framework fornisce indicazioni per i processi e gli strumenti di governance.
La metodologia di governance include cinque discipline:
| Disciplina | Contesto |
|---|---|
| Gestione dei costi | Esplorare le indicazioni per le tecniche di controllo dei report sui costi |
| Baseline di sicurezza | Approfondire l'argomento nell'area di progettazione della sicurezza |
| Coerenza delle risorse | Esplorare le indicazioni per l'assegnazione di nomi e di tag alle risorse nella governance dell'ambiente |
| Baseline di identità | Trattata in modo approfondito nell'area di progettazione per la gestione delle identità e degli accessi |
| Accelerazione della distribuzione | Approfondire l'argomento nell'area di progettazione per l'automazione della piattaforma e DevOps |
Considerazioni sulla governance di Azure
Criteri di Azure garantisce sicurezza e conformità per gli ambienti tecnici aziendali ed è in grado di applicare convenzioni fondamentali per la gestione e la sicurezza nei servizi della piattaforma Azure. Criteri di Azure integra il controllo degli accessi in base al ruolo di Azure, che controlla le azioni degli utenti autorizzati. Inoltre, Gestione dei costi e fatturazione di Azure può essere utile per supportare i costi e le spese di governance continui in Azure o in altri ambienti multicloud.
Considerazioni sull'accelerazione della distribuzione
I comitati consultivi di revisione per le modifiche potrebbero ostacolare l'innovazione e l'agilità aziendale di un'organizzazione. Criteri di Azure aumenta l'efficienza dei carichi di lavoro sostituendo tali revisioni con protezioni automatizzate e controlli di conformità.
- Determinare quali criteri di Azure sono necessari in base ai controlli aziendali o alle normative di conformità. Usare i criteri inclusi nell'acceleratore della zona di destinazione di Azure come punto di partenza.
- Usare gli esempi di progetto basati sugli standard per prendere in considerazione altri criteri che potrebbero rispondere ai propri requisiti aziendali.
- Applicare le convenzioni di rete, identità, gestione e sicurezza, che spesso sono automatizzate.
- Gestire e creare assegnazioni di criteri usando definizioni di criteri riutilizzabili in più ambiti di assegnazione ereditati. È possibile avere assegnazioni centralizzate di criteri di base per gli ambiti di gestione, sottoscrizione e gruppo di risorse.
- Garantire la conformità continua con la creazione di report e il controllo di conformità.
- Comprendere che Criteri di Azure presenta alcuni limiti, ad esempio la restrizione delle definizioni in un ambito specifico: limiti dei criteri.
- Comprendere i criteri di conformità alle normative. Possono includere criteri dei servizi di trust per SOC 2 oppure essere di tipo HIPAA o PCI-DSS.
Considerazioni sulla gestione dei costi
- Com'è strutturato il modello di costi e ricarica dell'organizzazione? Quali sono i punti dati chiave necessari per vedere in modo accurato la spesa per i servizi cloud?
- Trovare la struttura di tag più adatta al modello di costi e ricarica può essere utile per tenere traccia della spesa per il cloud.
- Il calcolatore dei prezzi di Azure può essere usato per stimare i costi mensili previsti per l'uso di qualsiasi combinazione di prodotti Azure.
- Vantaggio Azure Hybrid può contribuire a ridurre i costi di esecuzione dei carichi di lavoro nel cloud. È possibile usare le licenze di Windows Server e SQL Server locali abilitate per Software Assurance in Azure. Si applica anche agli abbonamenti Red Hat e SUSE Linux.
- Le prenotazioni di Azure consentono di risparmiare denaro a fronte di un impegno di acquisto di un piano di uno o tre anni per più prodotti. L'impegno di acquisto consente di ottenere sconti sulle risorse e ciò potrebbe ridurre significativamente i costi delle risorse fino al 72% rispetto ai prezzi con pagamento in base al consumo.
- Il piano di risparmio di Azure per il calcolo è il piano di risparmio più flessibile e genera risparmi fino al 65% sui prezzi con pagamento in base al consumo. Scegliere un impegno di un anno o di tre anni che verrà applicato ai servizi di calcolo indipendentemente dall'area, dalle dimensioni dell'istanza o dal sistema operativo. I servizi di calcolo idonei includono macchine virtuali, host dedicati, istanze di contenitore, funzioni Premium di Azure e servizi app di Azure. È possibile combinare un piano di risparmio di Azure con le prenotazioni di Azure per ottimizzare i costi di calcolo e la flessibilità. Per altre informazioni, vedere Piano di risparmio di Azure.
- I criteri di Azure possono essere usati per consentire aree, tipi di risorse e SKU di risorse specifici.
- La gestione del ciclo di vita di Archiviazione di Azure offre un criterio basato su regole. Il criterio può essere usato per spostare i dati BLOB nei livelli di accesso appropriati o per impostare la scadenza dei dati alla fine del relativo ciclo di vita.
- Le sottoscrizioni di sviluppo/test di Azure consentono di accedere a una selezione di servizi di Azure per carichi di lavoro non di produzione a prezzi scontati.
- Usare la scalabilità automatica per ridurre i costi allocando e deallocando dinamicamente le risorse in base alle proprie esigenze in termini di prestazioni.
- L'uso delle macchine virtuali spot di Azure consente di sfruttare la capacità inutilizzata con un notevole risparmio sui costi. Le macchine virtuali spot di Azure sono ideali per i carichi di lavoro in grado di gestire le interruzioni, ad esempio processi di elaborazione batch, ambienti di sviluppo/test, carichi di lavoro di calcolo di grandi dimensioni e altro ancora.
- Alcuni servizi di Azure sono gratuiti per 12 mesi, mentre altri lo sono sempre. La selezione dei servizi di Azure più appropriati consente di ridurre i costi.
- La selezione del servizio di calcolo adatto per l'applicazione in uso può contribuire all'efficienza dei costi. Azure offre diversi modi per ospitare il codice.
Considerazioni sulla coerenza delle risorse
- Quali sono i gruppi di risorse nell'ambiente in uso? Questi gruppi possono condividere caratteristiche di configurazione che potrebbero essere necessarie per mantenere la coerenza.
- La progettazione dell'applicazione o della sottoscrizione del carico di lavoro è la più appropriata per le proprie esigenze operative?
- Sono presenti gruppi di risorse che devono condividere un ciclo di vita comune?
- Sono presenti gruppi di risorse che devono condividere vincoli di accesso comuni, ad esempio il controllo degli accessi in base al ruolo?
- All'interno dell'organizzazione sono presenti configurazioni di risorse standard che possono essere usate per garantire una configurazione di base coerente?
Considerazioni sulla baseline di sicurezza
- Quali strumenti e protezioni devono essere applicati nell'ambiente come parte di una baseline di sicurezza?
- Chi può ricevere una notifica quando vengono trovate deviazioni?
- Considerare la possibilità di usare Criteri di Azure per applicare strumenti, ad esempio Microsoft Defender for Cloud.
- Prendere in considerazione l'uso di Criteri di Azure per applicare guardrail (ad esempio il benchmark di sicurezza cloud Microsoft).
Considerazioni sulla gestione delle identità
- Chi può accedere ai log di controllo per la gestione delle identità e degli accessi?
- Chi può ricevere una notifica quando si verificano eventi di accesso sospetti?
- Considerare la possibilità di usare report di Azure Active Directory per gestire l'attività.
- Considerare i log di Azure AD, che possono essere inviati all'area di lavoro Log Analytics centrale per la piattaforma.
- Esplorare le funzionalità delle verifiche di accesso di Azure AD nell'approccio di governance della zona di destinazione.
- Esplorare le funzionalità di gestione entitlement di Azure AD nell'approccio di governance della zona di destinazione.
Raccomandazioni per la governance di Azure
Raccomandazioni per l'accelerazione della distribuzione
- Identificare i tag di Azure necessari e usare la modalità dei criteri di accodamento per applicare l'utilizzo. Usare l'articolo sulla strategia di assegnazione di tag come punto di partenza.
- Eseguire il mapping dei requisiti normativi e di conformità alle definizioni di Criteri di Azure e alle assegnazioni di ruoli di Azure.
- Stabilire le definizioni di Criteri di Azure nel gruppo di gestione radice di primo livello perché potrebbero essere assegnate in ambiti ereditati.
- Gestire le assegnazioni di criteri al livello appropriato più alto con esclusioni ai livelli inferiori, se necessario.
- Usare Criteri di Azure per controllare le registrazioni dei provider di risorse a livello di sottoscrizione o di gruppo di gestione.
- Usare i criteri predefiniti per ridurre al minimo il sovraccarico operativo.
- Assegnare il ruolo predefinito di collaboratore ai criteri delle risorse in un particolare ambito per abilitare la governance a livello di applicazione.
- Limitare il numero di assegnazioni di Criteri di Azure effettuate nell'ambito del gruppo di gestione radice per evitare la gestione tramite esclusioni negli ambiti ereditati.
Raccomandazioni per la gestione dei costi
- Usare Gestione dei costi e fatturazione di Azure per implementare la supervisione finanziaria sulle risorse nell'ambiente.
- Usare i tag in Azure per accodare metadati alle risorse; ciò potrebbe consentire l'analisi granulare della spesa, ad esempio il centro di costo o il nome del progetto.
Governance di Azure nell'acceleratore della zona di destinazione di Azure
L'implementazione dell'acceleratore della zona di destinazione di Azure include funzionalità che consentono alle organizzazioni di ottenere in modo efficiente controlli di governance avanzati.
Ad esempio:
- Una gerarchia di gruppi di gestione che raggruppa le risorse in base alla funzione o al tipo di carico di lavoro potrebbe incoraggiare l'adozione di procedure consigliate per la coerenza delle risorse.
- Un set esteso di criteri di Azure potrebbe abilitare controlli di governance a livello del gruppo di gestione per garantire che tutte le risorse si trovino all'interno dell'ambito.